ProHoster > BLOG > administrare > 3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

În articolele anterioare, ne-am familiarizat puțin cu stiva elk și cu configurarea fișierului de configurare Logstash pentru analizatorul de jurnal. În acest articol, vom trece la cel mai important lucru din punct de vedere analitic, ceea ce doriți să faceți vezi din sistem și pentru ce a fost creat totul - acestea sunt grafice și tabele combinate în tablouri de bord. Astăzi vom arunca o privire mai atentă asupra sistemului de vizualizare Kibana, vom analiza cum să creăm grafice și tabele și, ca rezultat, vom construi un tablou de bord simplu bazat pe jurnalele din firewall-ul Check Point.

Primul pas în lucrul cu kibana este crearea model de index, logic, aceasta este o bază de indici uniți după un anumit principiu. Desigur, aceasta este pur și simplu o setare pentru a face Kibana să caute mai ușor informații pe toți indici în același timp. Este setat prin potrivirea unui șir, spuneți „checkpoint-*” și numele indexului. De exemplu, „checkpoint-2019.12.05” s-ar potrivi cu modelul, dar pur și simplu „checkpoint” nu mai există. Merită menționat separat că în căutare este imposibil să căutați informații despre diferite modele de index în același timp; puțin mai târziu în articolele următoare vom vedea că solicitările API sunt făcute fie după numele indexului, fie doar de unul. linia modelului, imaginea se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

După aceasta, verificăm în meniul Discover că toate jurnalele sunt indexate și că parser-ul corect este configurat. Dacă se găsesc neconcordanțe, de exemplu, schimbarea tipului de date dintr-un șir într-un număr întreg, trebuie să editați fișierul de configurare Logstash, ca urmare, noi jurnalele vor fi scrise corect. Pentru ca jurnalele vechi să ia forma dorită înainte de modificare, doar procesul de reindexare ajută; în articolele următoare această operațiune va fi discutată mai detaliat. Să ne asigurăm că totul este în ordine, poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Jurnalele sunt la locul lor, ceea ce înseamnă că putem începe să construim tablouri de bord. Pe baza analizei tablourilor de bord din produsele de securitate, puteți înțelege starea securității informațiilor într-o organizație, puteți vedea clar vulnerabilitățile din politica actuală și, ulterior, puteți dezvolta modalități de a le elimina. Să construim un tablou de bord mic folosind mai multe instrumente de vizualizare. Tabloul de bord va fi format din 5 componente:

  1. tabel pentru calcularea numărului total de bușteni pe lame
  2. tabel cu semnăturile critice IPS
  3. diagramă circulară pentru evenimentele de prevenire a amenințărilor
  4. graficul celor mai populare site-uri vizitate
  5. grafic privind utilizarea celor mai periculoase aplicații

Pentru a crea figuri de vizualizare, trebuie să mergeți la meniu imagina, și selectați figura dorită pe care vrem să o construim! Să mergem în ordine.

Tabel pentru calcularea numărului total de bușteni după lamă

Pentru a face acest lucru, selectați o cifră Tabel de date, intrăm în echipamentul pentru crearea graficelor, în stânga sunt setările figurii, în dreapta este cum va arăta în setările curente. Mai întâi, voi demonstra cum va arăta tabelul finit, după care vom parcurge setările, imaginea se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Setări mai detaliate ale figurii, imaginea se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Să ne uităm la setări.

Configurat inițial metrici, aceasta este valoarea cu care vor fi agregate toate câmpurile. Metricurile sunt calculate pe baza valorilor extrase într-un fel sau altul din documente. Valorile sunt de obicei extrase din domenii document, dar poate fi generat și folosind scripturi. În acest caz, punem Agregare: Număr (numărul total de bușteni).

După aceasta, împărțim tabelul în segmente (câmpuri) prin care va fi calculată metrica. Această funcție este realizată de setarea Buckets, care, la rândul său, constă din 2 opțiuni de setări:

  1. rânduri împărțite - adăugând coloane și împărțind ulterior tabelul în rânduri
  2. tabel împărțit - împărțire în mai multe tabele pe baza valorilor unui anumit câmp.

В găleți puteți adăuga mai multe diviziuni pentru a crea mai multe coloane sau tabele, restricțiile de aici sunt mai degrabă logice. În agregare, puteți alege ce metodă va fi folosită pentru a împărți în segmente: interval ipv4, interval de date, Termeni etc. Cea mai interesantă alegere este tocmai Termene и Termeni semnificativi, împărțirea în segmente se realizează în funcție de valorile unui câmp index specific, diferența dintre ele constă în numărul de valori returnate și afișarea acestora. Deoarece dorim să împărțim tabelul după numele lamelor, selectăm câmpul - produs.cuvânt cheie și setați dimensiunea la 25 de valori returnate.

În loc de șiruri, elasticsearch folosește 2 tipuri de date - a) Sport and Nutrition Awareness Day in Manasia Around XNUMX people from the rural commune Manasia have participated in a sports and healthy nutrition oriented activity in one of the community’s sports ready yards. This activity was meant to gather, mainly, middle-aged people from a Romanian rural community and teach them about the benefits that sports have on both their mental and physical health and on how sporting activities can be used to bring people from a community closer together. Three trainers were made available for this event, so that the participants would get the best possible experience physically and so that they could have the best access possible to correct information and good sports/nutrition practices. b) Sports Awareness Day in Poiana Țapului A group of young participants have taken part in sporting activities meant to teach them about sporting conduct, fairplay, and safe physical activities. The day culminated with a football match. и cuvinte cheie. Dacă doriți să efectuați o căutare full-text, ar trebui să utilizați tipul de text, un lucru foarte convenabil atunci când scrieți serviciul de căutare, de exemplu, căutând mențiunea unui cuvânt într-o anumită valoare a câmpului (text). Dacă doriți doar o potrivire exactă, ar trebui să utilizați tipul de cuvânt cheie. De asemenea, tipul de date al cuvântului cheie ar trebui folosit pentru câmpurile care necesită sortare sau agregare, adică în cazul nostru.

Ca urmare, Elasticsearch numără numărul de loguri pentru un anumit timp, agregat după valoarea din câmpul de produs. În Custom Label, setăm numele coloanei care va fi afișată în tabel, setăm timpul pentru care colectăm jurnalele, începem redarea - Kibana trimite o solicitare către elasticsearch, așteaptă un răspuns și apoi vizualizează datele primite. Masa este gata!

Diagramă circulară pentru evenimentele de prevenire a amenințărilor

Un interes deosebit este informațiile despre câte reacții există ca procent detecta и împiedica privind incidentele de securitate a informațiilor în politica de securitate actuală. O diagramă circulară funcționează bine în această situație. Selectați în Vizualizare - Graficul proporțiilor. De asemenea, în metrică am stabilit agregarea după numărul de loguri. În găleți punem Termeni => acțiune.

Totul pare să fie corect, dar rezultatul arată valori pentru toate lamele; trebuie să filtrați numai după acele lame care funcționează în cadrul Prevenirii amenințărilor. Prin urmare, cu siguranță l-am configurat filtru pentru a căuta informații numai despre bladele responsabile de incidentele de securitate a informațiilor - produs: („Anti-Bot” SAU „New Anti-Virus” SAU „DDoS Protector” SAU „SmartDefense” SAU „Threat Emulation”). Poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Și setări mai detaliate, imaginea se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Tabelul de evenimente IPS

În continuare, foarte important din punct de vedere al securității informațiilor este vizualizarea și verificarea evenimentelor de pe blade. IPS и Emularea amenințărilor, которые nu sunt blocate politica actuală, pentru a modifica ulterior semnătura pentru a preveni, fie dacă traficul este valid, nu verificați semnătura. Cream tabelul la fel ca si pentru primul exemplu, cu singura diferenta ca creem mai multe coloane: protectii.keyword, severity.keyword, product.keyword, originsicname.keyword. Asigurați-vă că ați configurat un filtru pentru a căuta informații numai despre bladele responsabile de incidentele de securitate a informațiilor - produs: („SmartDefense” SAU „Emularea amenințărilor”). Poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Setări mai detaliate, imaginea se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Grafice pentru cele mai populare site-uri vizitate

Pentru a face acest lucru, creați o figură - Bară verticală. De asemenea, folosim count (axa Y) ca metrică, iar pe axa X vom folosi numele site-urilor vizitate ca valori – „appi_name”. Există un mic truc aici: dacă rulați setările în versiunea curentă, atunci toate site-urile vor fi marcate pe grafic cu aceeași culoare, pentru a le face multicolore, folosim o setare suplimentară - „split series”, care vă permite să împărțiți o coloană gata făcută în mai multe valori, în funcție de câmpul selectat desigur! Această diviziune poate fi folosită fie ca o coloană multicoloră în funcție de valori în modul stivuit, fie în modul normal pentru a crea mai multe coloane în funcție de o anumită valoare pe axa X. În acest caz, aici folosim aceeași valoare ca pe axa X, acest lucru face posibilă ca toate coloanele să fie multicolore; acestea vor fi indicate prin culori în dreapta sus. În filtrul pe care l-am setat - produs: „Filtrare URL” pentru a vedea informații numai pe site-urile vizitate, poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Setări:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Diagrama de utilizare a celor mai periculoase aplicații

Pentru a face acest lucru, creați o figură - Bara verticală. De asemenea, folosim count (axa Y) ca metrică, iar pe axa X vom folosi numele aplicațiilor utilizate - „appi_name” ca valori. Cel mai important este setarea filtrului - produs: „Application Control” ȘI app_risk: (4 SAU 5 SAU 3) ȘI acțiune: „Accept”. Filtrăm jurnalele după bladele de control al aplicației, luând numai acele site-uri care sunt clasificate ca site-uri cu risc Critic, Ridicat, Mediu și numai dacă accesul la aceste site-uri este permis. Poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Setări, pe care se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Bord

Vizualizarea și crearea tablourilor de bord se află într-un articol separat de meniu - Contul Meu. Totul este simplu aici, este creat un nou tablou de bord, i se adaugă vizualizare, plasată la locul lui și gata!

Creăm un tablou de bord prin care puteți înțelege situația de bază a stării securității informațiilor într-o organizație, bineînțeles, doar la nivel de Check Point, poza se poate face clic:

3. Stiva elastică: analiza jurnalelor de securitate. Tablouri de bord

Pe baza acestor grafice, putem înțelege ce semnături critice nu sunt blocate pe firewall, unde merg utilizatorii și care sunt cele mai periculoase aplicații pe care le folosesc.

Concluzie

Ne-am uitat la capacitățile vizualizării de bază în Kibana și am construit un tablou de bord, dar aceasta este doar o mică parte. În continuare, în curs, vom analiza separat configurarea hărților, lucrul cu sistemul elasticsearch, familiarizarea cu solicitările API, automatizarea și multe altele!

Așa că rămâneți pe fazăTelegramă, Facebook, VK, TS Solution Blog), Yandex Zen.

Sursa: www.habr.com

Adauga un comentariu